[发明专利]一种基于特征增强的对抗样本生成方法及生成装置

说明书

本发明实施例提供了一种基于特征增强的对抗样本生成方法及生成装置，其中方法包括：获取用于对深度学习网络进行分类训练的原始输入样本，基于原始输入样本中的数据结构信息，确定原始输入样本的可扰动位置，针对原始输入样本的目标攻击类别，生成特征信息，选取预设数量的特征信息，基于所选取的特征信息，以及所确定的原始输入样本的可扰动位置，生成对抗样本。本发明实施例由于不再需要对原始样本中的所有数据内容产生扰动，因此能够避免所构造的对抗样本与原始输入样本差异大的问题。

技术领域

本发明涉及机器学习技术领域，特别是涉及一种基于特征增强的对抗样本生成方法及生成装置。

背景技术

深度学习是机器学习中一种基于对数据进行表征学习的技术，近年来，随着深度学习技术的快速发展，其应用领域愈加广泛，例如，将深度学习技术应用于网络安全检测、图像识别、自动驾驶等领域，但是随之而来深度学习技术本身也暴露出安全性问题。例如，攻击者将攻击数据输入深度学习网络中，使深度学习技术输出错误的预测结果，达到攻击深度学习网络的目的。

为了提高深度学习网络的抗攻击能力，现有技术通常采用构造对抗样本的方法以分析深度学习网络的抗攻击能力，即，对于一个能够被深度学习网络正确分类的原始样本，通过在原始样本中增加干扰信息，从而构造含有干扰信息的对抗样本，然后将对抗样本输入深度学习网络，使深度学习网络输出错误的分类结果，达到模拟攻击的效果。

然而，发明人在实现本发明的过程中发现，现有技术至少存在如下问题：

现有构造对抗样本的方法在构造对抗样本时，通常会对原始样本中的所有数据内容产生扰动，例如，在构造对抗样本图像时，需要对原始图像中的所有像素点增加扰动信息，因此所构造的对抗样本图像与原始图像之间的差异大，不利于欺骗深度学习网络以产生错误的分类结果。

发明内容

本发明实施例的目的在于提供一种基于特征增强的对抗样本生成方法及生成装置，以减少所构造的对抗样本与原始样本之间的差异，从而更有效地利用对抗样本进行模拟攻击。具体技术方案如下：

第一方面，本发明实施例提供了一种基于特征增强的对抗样本生成方法，所述方法包括：

获取用于对深度学习网络进行分类训练的原始输入样本，所述原始输入样本包括：原始图片样本，或者原始超文本传输协议HTTP请求样本；

基于所述原始输入样本中的数据结构信息，确定所述原始输入样本的可扰动位置，所述可扰动位置为在所述原始输入样本中添加扰动信息的位置；

针对所述原始输入样本的目标攻击类别，生成所述原始输入样本的特征信息，其中，所述目标攻击类别为所述原始输入样本的多个预设分类类别中的其中一个；

选取预设数量的特征信息，所述预设数量基于所生成的所述特征信息的重要程度确定；

基于所选取的所述特征信息，以及所确定的所述原始输入样本的可扰动位置，生成所述对抗样本。

可选的，当所述原始输入样本为原始图片样本时，所述基于所述原始输入样本中的数据结构信息，确定所述原始输入样本的可扰动位置的步骤，包括：

根据所述原始图片样本中各像素点所对应的相关值大小，确定所述原始图片样本中待进行增强处理的目标像素点，所述相关值用于表示各像素点对所述深度学习网络预测结果的影响程度；

所述针对所述原始输入样本的目标攻击类别，生成所述原始输入样本的特征信息的步骤，包括：

对各目标像素点进行像素翻转增强处理或者像素迭代增强处理，得到经特征增强后的目标像素点；

所述选取预设数量的特征信息的步骤，包括：

选取所得到的所述经特征增强后的目标像素点，并将所述经特征增强后的目标像素点作为特征信息；